The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"FTP за NAT на нестандартном порту"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Linux iptables, ipchains)
Изначальное сообщение [ Отслеживать ]

"FTP за NAT на нестандартном порту"  +/
Сообщение от Smjbv (ok), 29-Янв-21, 03:19 
Шлюз на Debian 7.11 (3.2.0-4-686-pae), iptables v1.4.14.

ip внешнего интерфейса: 1.1.1.1

ip внутреннего интерфейса: 192.168.1.1

Внутри локальной сети работает ftp-сервер, для которого нужно организовать доступ снаружи.

ip ftp-сервера во внутренней сети: 192.168.1.55

Порт ftp-сервера во внутренней сети: 51

Вывод lsmod | grep ftp

nf_nat_ftp             12420  0
nf_conntrack_ftp       12533  2 nf_nat_ftp
nf_nat                 17913  2 iptable_nat,nf_nat_ftp
nf_conntrack           43121  9 nf_conntrack_ipv4,nf_nat,iptable_nat,xt_conntrack,xt_state,nf_conntrack_ftp,nf_nat_ftp,xt_CT,nf_conntrack_netlink


Вот так не работает:

iptables -t raw -A PREROUTING --dst 1.1.1.1   -p tcp --dport 55555 -j CT --helper ftp
iptables -t nat -A PREROUTING -i ext --dst 1.1.1.1 -p tcp --dport 55555 -j DNAT --to-destination 192.168.1.55:51

Управляющее соединение открывается, но соединение для потока данных нет.
conntrack -E expect ничего не показывает.

Если переделать, чтобы порт ftp-сервер был стандартным (настройки ftp-сервера и настройки iptables), то все работает:

iptables -t nat -A PREROUTING -i ext --dst 1.1.1.1 -p tcp --dport 55555 -j DNAT --to-destination 192.168.1.55:21


Подскажите пожалуйста какие нужны настройки, чтобы сделать доступным ftp-сервер, работающий на нестандартном порту?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "FTP за NAT на нестандартном порту"  +/
Сообщение от ACCA (ok), 29-Янв-21, 05:51 
> Шлюз на Debian 7.11 (3.2.0-4-686-pae), iptables v1.4.14.

Про Debian 7.11 не припомню, хочешь README от Slackware 7.1?

Ответить | Правка | Наверх | Cообщить модератору

4. "FTP за NAT на нестандартном порту"  +/
Сообщение от Smjbv (ok), 29-Янв-21, 12:55 
> Про Debian 7.11 не припомню, хочешь README от Slackware 7.1?

Да. Буду признателен.

Ответить | Правка | Наверх | Cообщить модератору

2. "FTP за NAT на нестандартном порту"  +/
Сообщение от Аноним (-), 29-Янв-21, 11:26 
у nf_conntrack_ftp есть параметр ports, можно попробовать добавить нестандартный.

Ответить | Правка | Наверх | Cообщить модератору

3. "FTP за NAT на нестандартном порту"  +/
Сообщение от Аноним (-), 29-Янв-21, 11:28 
Говорят вот так можно

modprobe nf_conntrack_ftp ports=your_port

Ответить | Правка | Наверх | Cообщить модератору

5. "FTP за NAT на нестандартном порту"  +/
Сообщение от Smjbv (ok), 30-Янв-21, 02:46 
> Говорят вот так можно
> modprobe nf_conntrack_ftp ports=your_port

Тут говорят, что использование опций модуля является не рекомендуемым и устаревшим способом:

https://home.regit.org/netfilter-en/secure-use-of-helpers/

«iptables -A PREROUTING -t raw -p tcp --dport 2121 -d 1.2.3.4 -j CT --helper ftp

Therefore, the use of the module options is NOT recommended anymore – please use the CT target instead.»

Поэтому и захотел попробовать новый способ.

Ответить | Правка | Наверх | Cообщить модератору

6. "FTP за NAT на нестандартном порту"  +/
Сообщение от Аноним (-), 30-Янв-21, 05:16 
> https://home.regit.org/netfilter-en/secure-use-of-helpers/
> «iptables -A PREROUTING -t raw -p tcp --dport 2121 -d 1.2.3.4 -j
> CT --helper ftp

Выглядит логичнее конечно, вот только любопытно работает ли

Ответить | Правка | Наверх | Cообщить модератору

7. "FTP за NAT на нестандартном порту"  +/
Сообщение от Smjbv (ok), 30-Янв-21, 13:14 
> Выглядит логичнее конечно, вот только любопытно работает ли

Пока не удалось завести.
Через опции модуля работает. А через -j CT нет. (может быть я конечно неправильно правило сделал, но для убедительности сделал несколько различных правил)

Ответить | Правка | Наверх | Cообщить модератору

8. "FTP за NAT на нестандартном порту"  +/
Сообщение от fantom (??), 01-Фев-21, 14:27 
>> Выглядит логичнее конечно, вот только любопытно работает ли
> Пока не удалось завести.
> Через опции модуля работает. А через -j CT нет. (может быть я
> конечно неправильно правило сделал, но для убедительности сделал несколько различных правил)

А что за мазохизм с ftp мучиться??
есть гораздо более удобные альтернативы, например sftp, или scp...
И шифрование стойкое из коробки, и прочие плюшки-ватрушки...

Ответить | Правка | Наверх | Cообщить модератору

9. "FTP за NAT на нестандартном порту"  +/
Сообщение от Аноним (9), 03-Фев-21, 16:54 
> А что за мазохизм с ftp мучиться??
> есть гораздо более удобные альтернативы, например sftp, или scp...

"

Медленные они, когда тебе надо швырнуть пару гигабайт разномастных файлов на (или с) не сильно мощное железо - дело идёт в разы медленнее, чем при использовании простого ftp без шифрования

"

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру